Телефония Asterisk с нуля. Текстовая инструкция
Download 1.04 Mb. Pdf ko'rish
|
Телефония Asterisk с нуля. Текстовая инструкция
|
7.12 Защита от DOS атак.
DOS атака (Denial-of-service) что в переводе с английского означает "отказ в обслуживании" применяется с целью того, чтобы ваш сервер захлебнулся При DOS атаке на ваш сервер направляется огромное число мусорных пакетов, центральный процессор вашего сервера пытается их обработать, загружается под 100% и вы уже не сможете совершить какие- либо звонки, ибо сервер обрабатывает только этот мусор. Так же существует DDOS атака, это та же самая DOS атака, только она мусорные пакеты вам посылают сразу с нескольких вычислительных ресурсов (серверов, компьютеров и т.п) © Никоноров М.Ю, 2014 88 Защитимся от подобного рода угрозы: 1) Зайдем в iptables: nano /etc/sysconfig/iptables 2) после строчки: -A INPUT -i lo -j ACCEPT добавим 2 новых записи: -A INPUT -p tcp -m multiport --dports 1265,7623,3348,137,138,139,445 -m recent --set --name dos-attack -A INPUT -p tcp -m multiport --dports 1265,7623,3348,137,138,139,445 -m recent --update --seconds 2 -- hitcount 20 --name dos-attack -j DROP 3) Сохраним файл и перезагрузим iptables: service iptables restart Как же оно работает? Фаерволл iptables просматривает все эти порты: 1265,7623,3348,137,138,139,445. Это наши SIP порт, SSH, Apach и samba Далее работает функция "recent". Эта функция считает не превысил ли какой-либо пакет указанное количество (20) за указанное время (2 секунды). Если, один и тот же пакет в течении 2 секунд уже 20 раз приходит с внешки и пытается проникнуть, он с помощью параметра -j DROP отбрасывается Таким образом, если кто-то начнет на нас DOS атаку - пакеты не пройдут в наш сервер, не загрузят процессор, а просто будут отбрасываться. |
